乍一看,网络安全领域需要解决的重要问题数以百计。这反过来,又为数以千计的安全初创企业提供了机会,使得整个安全技术领域看起来就像一张有趣的宾果游戏牌。
然而,现实情况却大相径庭。
大多数安全问题都是小众问题,因此它们根本不可能带来超额的风险回报。而那些非小众的问题往往遵循特定的模式。在这篇文章中,我将仔细分析这些模式是什么,以及哪些安全领域实际上构成了大市场。
两个因素决定一家安全初创能否成为上市公司
观察网络安全市场的发展已有数年,我得出结论,有两个因素决定了一家初创公司是否有潜力成为一家成功上市的严肃的、传承的公司,以及上市后的成功历程(也非常重要)。这两个因素是
1) 总可寻址市场(TAM)的规模,以及
2) 公司嵌入其旨在保护的基础设施的深度。
思考整个可寻址市场
第一性原理出发识别具有风险投资规模的市场
初创企业数以千计,缩写和产品类别数以百计,细分安全公司的方法也多种多样。但我认为,只有五到六个大型市场能够产生风险规模的成果。
归根结底就是要找到一个简单问题的答案:所有的工作都在哪里进行?你不需要Gartner来思考这个问题。过去
工作在人们的工作站上进行
这些工作站将通过网络连接互联网和公司资源
在这种情况下,企业需要保护两样东西:端点(服务器、工作站等)和它们所在的网络。无论我们关注的是哪个行业,同样的优先事项都是适用的,因此端点和网络安全也随之蓬勃发展。McAfee和Check Point等公司定义了那个时代的面貌。随着时间的推移,攻击者了解到,为了进行通信,公司在很大程度上依赖于电子邮件,因此电子邮件成为了一个重要的攻击载体。本世纪初,Proofpoint和Mimecast等公司开始致力于解决电子邮件问题。
二十多年后的今天,网络、端点和电子邮件安全仍然是基础。然而,很多方面都发生了变化。随着身份成为新的边界,身份和身份安全公司的数量迅速增长。CyberArk这家成立于1999年的初创公司成为最大的身份识别公司。十年后,Okta加入了它的行列,这标志着身份安全已成为一个新的大市场。
随着网络安全行业的成熟,成立于2003年的初创公司Splunk让整个行业相信,大规模集中、保留和分析日志对于有效检测和响应至关重要。于是,SIEM(即安全信息和事件管理)这第五大市场诞生了。
几十年过去了,顶级市场依然如故:
尽管许多人宣称"网络已死",但网络仍然是基础。随着公司开始放弃传统网络,连接和安全问题再次出现。后来,安全接入服务边缘(SASE)解决方案将网络和安全融为一体。
端点安全对于安全和勒索软件的防范仍然至关重要,因为人们仍然在工作站上以十年前的方式工作。无论好坏,ChromeOS还不是企业大量使用的操作系统标准,而且也不可能很快成为标准。
身份已真正成为新的边界,由于现在的访问是基于用户和机器身份的,因此市场出现了爆炸式增长。
电子邮件安全仍然是一个大问题,因为尽管引入了Slack、Teams和其他协作工具,但这仍然是企业与外界沟通的方式。
安全信息和事件管理(SIEM)仍然是安全团队汇总、关联和分析数据的基础技术,换句话说,也是他们开展工作的基础。
云安全是风险投资关注的一个新领域:
随着企业开始向云迁移,云安全作为一个新的角色出现了。二十年后的今天,我们已经拥有了像Wiz这样的企业,他们正在将这一领域集中起来。
经过反复试验,我们了解到哪些市场不具备风险规模
在过去二十年里,投资者对新机遇感到无比兴奋,但最终希望破灭的案例比比皆是。例如
在某一特定时期,全世界都对新技术的安全性寄予厚望,但这并没有成为现实,其中包括移动安全、区块链安全、物联网安全和Web3安全。从目前的情况来看,尽管我们期望这一次一切都会有所不同,但人工智能的安全问题并非不可能。
即使某些东西确实变得无处不在,它可能仍然不会体现在风险规模安全类别的创建上。API安全和浏览器安全就是这样两个例子。API已成为世界运行方式的基础,这一点很难争辩,也没有人会说API的安全性不重要。同样,浏览器确实已成为一种新的操作系统,成为人们进入大多数人依赖的SaaS应用程序的窗口。然而,这两个领域都没有带来风险投资所期望的回报。在我看来,出现这种情况的主要原因是,现有的控制措施可以解决很多新的问题。以浏览器安全为例,人们并没有不公平地期望端点安全解决方案(EDR)会在发生不测时充当最后一道防线。
长期以来,人们一直希望我们能找到新的市场和销售安全产品的新方法。好消息是,有些赌注确实得到了回报。对风险投资公司来说,坏消息是这些都是例外,而不是规则,那些成功地向大型企业以外的客户销售产品的公司主要依靠的是服务,而不是产品。
我们了解到,针对高度监管行业的产品一般都能得到足够的采用,从而获得退出的机会。但是,除非更广泛的市场也受到同样的监管,否则它们的潜力是有限的。数据丢失防护(DLP)和第三方风险管理(TPRM)市场就是一个很好的例子。
我们还了解到,专门针对最先进企业的解决方案市场潜力有限。其中一个例子就是内部威胁防范领域,它通常只适用于已经解决了基本问题或前面讨论过的端点、网络、云、身份、电子邮件和SIEM需求的公司。
具有吸引力的风险投资规模市场通常与行业和技能无关。
如果一个产品能与金融和医疗保健市场以外的人产生关联,那么它就会有更广阔的市场潜力。有些类别的产品,如应用安全产品,几乎已经成熟,但还没有完全成熟。虽然软件确实正在吞噬世界,但医疗保健、制造、石油和天然气等行业的许多公司并不需要应用安全工具(与端点、网络、身份识别、电子邮件等不同)。
同样重要的是,解决方案不要求客户拥有复杂的技术人才来部署。换句话说,要成为真正具有风险投资规模的产品,该产品应同时适用于以分析师为中心的组织(传统企业)和以工程为中心的组织(技术领先的SaaS公司和风险投资支持的早期采用者)。正如我在上一篇2024年的文章中所讨论的,世界上大多数企业都不会在短期内招聘安全工程师。
公司嵌入其旨在保护的基础设施的深度
提供安全保障的公司有两类:
在别人的技术上提供安全保护的公司
为其提供安全服务的公司
这两类人有着天壤之别。
为其提供安全服务的公司
我认为,确保安全的最佳方式是将安全作为底层技术的一项功能。例如
解决端点安全问题的最佳方法是构建安全的端点。这意味着,保护微软设备安全的最佳公司应该是微软。尽管事实并非如此,但这并不能否定这一点。Chrome OS就是一个很好的例子,这个操作系统比Windows上的任何系统都要安全得多。
确保身份安全的最佳方式是构建安全第一的身份和访问管理(IAM)功能。我相信,无论谁能与Okta一决高下,都会采用这种方式。
解决网络安全问题的最佳方法是构建安全的网络。Zscaler和Aviatrix等公司就是这种方法的典型代表。
解决电子邮件安全问题的最佳方法是构建安全的电子邮件。人们曾寄希望于微软和谷歌能够解决电子邮件安全问题,但几十年过去了,我们离这一现实还差得很远。
解决云安全问题的最佳方法是构建安全第一的云。这包括设置安全默认值,并确保工程师无需采取额外步骤即可安全地完成工作。
显然,很多人会认为,指望制造新技术的公司最擅长保护新技术是不合理的。与此相对应的是SASE类别,它是网络与安全的成功结合。
企业将安全嵌入其核心技术产品有很多好处:
大幅提高价格的能力。对于那些能够解决与收入相关的业务问题的企业,公司总是会支付高昂的费用。连接(网络、身份、电子邮件)或提供工作环境(工作站、服务器、云)就是这样两个领域。在此基础上增加安全功能就变得很容易。SASE就是一个很好的例子--一旦流量通过单一代理,添加安全功能就很容易了。
强大的护城河和高昂的转换成本。任何技术,只要成为企业运作必须依赖的底层基础设施或连接组织,就几乎不可能被取代。转换成本高昂,风险也是如此。我听说很多公司都在抱怨Zscaler的价格或Okta的安全问题,但我还没有发现一家大型企业会真正更换(如果你有这些例子,请联系我,我很乐意了解更多)。
走这条路也有很多弊端:
技术复杂性。制作一个浏览器要比制作一个浏览器安全插件难得多。建立一个操作系统要比建立一个终端安全工具难得多。创建一家网络公司要比创建一家网络安全公司难得多,等等。
采用障碍。让人们采用新的解决方案非常困难。我甚至可以说,如果没有一些根本性的社会或技术变革来创造独特的机会之窗,这是不可能的。对于这类游戏来说,时机就是一切。
排他性障碍。虽然一家公司可能拥有几十甚至上百种安全工具,但通常只需要一个代理服务器、一个电子邮件提供商等。
高风险。当所有员工都依赖公司完成日常工作时,公司必须始终保持正常运行。当电子邮件安全解决方案出现故障时,有人受到威胁的可能性不为零。然而,当电子邮件提供商出现故障时,依赖它的每个人都有100%的可能无法发送电子邮件。这两种概率对业务运营的影响是完全不同的。
在别人的技术上提供安全保护的公司
说到安全公司,我们通常会想到那些在别人的技术之上提供安全保护的公司。例如
电子邮件安全是一个安全层/工具,与微软和谷歌等电子邮件提供商的工作相辅相成。
端点安全是一个安全层/工具,与微软和苹果等操作系统提供商的工作相辅相成。
身份安全是对Okta或微软等身份供应商工作的一个补充层/工具。
在别人的技术之上再提供一层安全保护时,通常会遵循相同的模式。它始于可见性(供应商向CISO和安全团队展示安全方面的差距)。一旦了解了差距,供应商就会寻求提供解决方案(检测、响应,然后是自动化)。
一般来说,产品嵌入得越深,安全性能就越高,但也就越难被采用。例如,尽管基于代理的解决方案能够提供更深层次的云安全功能,但与Lacework的原始代理所提供的所有额外功能相比,客户更青睐Wiz所提供的易于上手的功能。另一方面,易于上架的产品也更容易被淘汰。如果有人想用CrowdStrike或其他方式替换SentinelOne,他们最好确定自己已经做好准备,在可能是数万甚至数十万台机器上安装一个代理并安装另一个代理。另一方面,如果启用新工具不会影响安全团队以外的其他人,那么该工具被替换的可能性就会大大增加。
在绝对理想的情况下,公司希望产品尽可能容易上手,但又尽可能难以淘汰。这对针对安全团队(安全既是买家也是用户)的产品非常有效,预置的工具可以让他们快速上手并运行,但要确保产品使用时间越长越有价值。SIEM解决方案就是这样一个例子。它们带有预建连接器,可快速输入数据,公司使用时间越长,积累的数据就越多,员工对解决方案就越熟悉。Splunk的故事就是一个很好的例子:很多人抱怨它的价格,但相对而言,很少有人会因为要并行运行两种SIEM产品几年才能完全摆脱Splunk而感到兴奋。这种过渡可能会非常痛苦,迫使人们长期并行使用两种工具。
对于安全供应商来说,在别人的技术上提供安全层的优势包括
更快实现价值。采用新的电子邮件安全工具比采用新的电子邮件提供商更容易。
降低风险。当安全产品出现故障时,可能会影响安全性,但不会影响员工的工作能力。
更易于构建。开发一个安全产品要比购买一个连接层容易得多。
另一方面,缺点也很明显:
优先级较低。与采购公司运营所需的工具(软件、硬件、连接层等)相比,采购安全设备的优先级要低得多。
价格更低。安全支出通常占IT支出的一定比例,这不仅体现在高层次上,也体现在基础设施层面上。公司在云计算上的支出高于云安全支出,在电子邮件上的支出高于电子邮件安全支出,等等。
更难销售。与独立的安全厂商相比,微软更容易说服客户为端点安全付费。这同样适用于任何事情。从历史上看,对于专注于构建需要安全的技术的公司来说,安全问题是事后才考虑的问题。这就是为什么尽管微软有自己的产品,但仍有许多成功的电子邮件和端点安全公司的原因。尽管如此,我预计随着时间的推移,这种情况将会改变。
更容易取代。由于安全团队通常是唯一依赖安全工具的团队,因此更容易更换供应商。而要将涉及到公司所有员工的东西拆卸和替换,则要困难得多。
成功的标准不止这两个,但它们是基础
我想说的是,虽然这些看法总体上是正确的,但并不总是正确的。这其中有许多细微的差别。
始终不变的是,整个可寻址市场的规模至关重要。如果市场规模不够大,那么无论初创企业如何努力,都将举步维艰。我们已经在安全协调、自动化和响应(SOAR)方面看到了这一点,几家优秀的公司为了继续发展,不得不向其他市场扩张。我们在API安全公司方面也看到了这种情况,迄今为止,大多数收购都不如人们预期的那么令人印象深刻。在许多市场和细分市场,我们一次又一次地看到这种情况。即使创始人从另一个市场起步,他们最终也需要转向或扩张,以实现他们的增长雄心。
说到安全嵌入底层技术的深度,这才是有趣的地方。我认为,Zscaler和Okta这两家公司都不是安全厂商,而是访问和连接厂商,但它们都表明,安全是买家的有力论据。我看到Aviatrix这家专注于多云网络的公司,也在向提供安全网络的说法靠拢。随着时间的推移,防火墙供应商(Palo Alto、Check Point、Fortinet等)也已成为连接和接入供应商,因此很难取代它们。另一方面,纯安全类别(内部威胁防御、数据丢失防御、云安全、浏览器安全、端点安全、应用安全等)将更难留住客户。
拥有庞大的可寻址市场规模和深入公司旨在保护的基础设施并不是唯一重要的因素。团队也很重要(毫不奇怪,CrowdStrike、Zscaler和Tenable等大多数成功的公共安全公司都是由经验丰富的创业者创办的)。公司的执行能力和决定采取的战略(楔子)同样重要。然而,创始人可以雇佣优秀的人才,迭代不同的战略,并学习如何在前进的道路上走得更快。然而,在一个狭小的市场中,如果一个优秀的团队执行得非常好,那么其结果充其量也只能是一般(除非他们转向一个新的、更大的市场)。而且,一旦一家安全公司决定要将自己深深地嵌入到它希望保护的底层技术中,要改变这一点就比人们想象的要难得多。
原文链接:
https://ventureinsecurity.net/p/the-only-six-cybersecurity-markets
声明:本文来自安全喵喵站,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
